《信息安全概论》课程教学资源（PPT课件）第8章 信息安全管理

第八章信息安全管理

第八章 信息安全管理

第八章信息安全管理 ■8.1组织基础架构 ■8.2管理要素和管理模型 ■8.3身份管理 ■8.4人员和物理环境安全

第八章 信息安全管理 ◼ 8.1 组织基础架构 ◼ 8.2 管理要素和管理模型 ◼ 8.3 身份管理 ◼ 8.4 人员和物理环境安全

81组织基础架构 信息系统生命期安全管理问题 安全管理贯穿于信息系统生命周期的各个阶段： 开发(Development):包括需求分析、系统设计、组织设计和集 成 制造(Manufacturing):包括试制和批量生产。 验证(Verification),：包括对设计的论证、试验、审查和 含标高收的养，益的并发演试 部署(Deployment):包括对系统及其组件的配备、分 布和放置。 运行，(Operation):包括对系统及其组件的操作以及系 统的运转。 支持和培训(Support and Training),:包括对系统及其 组件的维护，对操作、使用等的了解和指导。 处置(Disposal):包括报废处理等

8.1 组织基础架构 ◼ 信息系统生命期安全管理问题 ◼ 安全管理贯穿于信息系统生命周期的各个阶段： ◼ 开发（Development）：包括需求分析、系统设计、组织设计和集 成。 ◼ 制造（Manufacturing）：包括试制和批量生产。 ◼ 验证（Verification）：包括对设计的论证、试验、审查和 分析（包括仿真），非正式的演示，全面的开发测试和评 估，以及产品的验收测试。 ◼ 部署（Deployment）：包括对系统及其组件的配备、分 布和放置。 ◼ 运行（Operation）：包括对系统及其组件的操作以及系 统的运转。 ◼ 支持和培训（Support and Training）：包括对系统及其 组件的维护，对操作、使用等的了解和指导。 ◼ 处置（Disposal）：包括报废处理等

81组织基础架构 信息系统生命期安全管理问题 安全管理在信息系统整个生命期的各个阶段中的实施内容包括： 。制定策略：利用安全服务为组织提供管理、保护和分配信息系统资源的准则和指令。 ■资产分类保护：帮助组织识别资产类别并采取措施进行适当的保护。 ■人事管理：减少人为错误、盗窃、欺诈或设施误用所产生的风险。 物理和环境安全：防止非授权的访问、损坏和干扰通信媒体和机房（及 其附属建筑设施)以及信息泄露。 ■通信与运营管理：确保信息处理设施的正确和安全运营。 访问控制：按照策略控制对信息资源的访问。 系统开发和维护：确保将安全服务功能构建到信息系统中。 业务连续性管理：制止中断业务的活动以及保护关键的业务过程不受大 的故障或灾害影响，并具有灾难备份和快速恢复的能力。 遵从：保持与信息安全有关的法律、法规、政策或合同规定的一致性， 承担相应的责任

8.1 组织基础架构 ◼ 信息系统生命期安全管理问题 ◼ 安全管理在信息系统整个生命期的各个阶段中的实施内容包括： ◼ 制定策略：利用安全服务为组织提供管理、保护和分配信息系统资源的准则和指令。 ◼ 资产分类保护：帮助组织识别资产类别并采取措施进行适当的保护。 ◼ 人事管理：减少人为错误、盗窃、欺诈或设施误用所产生的风险。 ◼ 物理和环境安全：防止非授权的访问、损坏和干扰通信媒体和机房（及 其附属建筑设施）以及信息泄露。 ◼ 通信与运营管理：确保信息处理设施的正确和安全运营。 ◼ 访问控制：按照策略控制对信息资源的访问。 ◼ 系统开发和维护：确保将安全服务功能构建到信息系统中。 ◼ 业务连续性管理：制止中断业务的活动以及保护关键的业务过程不受大 的故障或灾害影响，并具有灾难备份和快速恢复的能力。 ◼ 遵从：保持与信息安全有关的法律、法规、政策或合同规定的一致性， 承担相应的责任

8.1组织基础架构 信息安全中的分级保护问题 ■信息系统保护的目标 信息系统安全的保护目标与所属组织的安全利益是完全，致的 体现方对信氯的保护和对紧统的保护。一信囂保我嘉使蕲逼 组织有直接使用价道（用宇茭换眼影载去享目的）的信息和紧 统运行中有关八用宝家统管理知运行 制目的)的信息的机密 莞整捱、可用难和可握裤不会受淘非授这的迥、修数和 破 。 统保护如桌使所属箱织用宇维持运和行职能的值 意技术统的可靠链，完整性和可用性不受到] 的修改和 系统保护的迈能有两个：一 是为信息保折 三 提供支持 是对信息技米系统首身进行保护。 ■信息系统分级保护 ■ 对信鼻和信息系统洪行岔级保护是体秘统筹松划、积极防范： 重 是在维护安全、 类的方式确保信息和信意系统安全睬符合政策规范，父满定 实际需求

8.1 组织基础架构 ◼ 信息安全中的分级保护问题 ◼ 信息系统保护的目标 ◼ 信息系统安全的保护目标与所属组织的安全利益是完全一致的， 具体体现为对信息的保护和对系统的保护。信息保护是使所属 组织有直接使用价值（用于交换服务或共享目的）的信息和系 统运行中有关（用于系统管理和运行控制目的）的信息的机密 性、完整性、可用性和可控性不会受到非授权的访问、修改和 破坏。系统保护则是使所属组织用于维持运行和履行职能的信 息技术系统的可靠性、完整性和可用性不受到非授权的修改和 破坏。系统保护的功能有两个：一是为信息保护提供支持，二 是对信息技术系统自身进行保护。 ◼ 信息系统分级保护 ◼ 对信息和信息系统进行分级保护是体现统筹规划、积极防范、 重点突出的信息安全保护原则的重大措施。最有效和科学的方 法是在维护安全、健康、有序的网络运行环境的同时，以分级 分类的方式确保信息和信息系统安全既符合政策规范，又满足 实际需求

81组织基础架构 计算机信息系统的安全保护等级 GB17859一1999《计算机信息系统安全保护等级划 分准则》是我国计算机信息系统安全保护等级系列标准 的基础，是进行计算机信息系统安全等级保护制度建设 的基础性标准，也是信息安全评估和管理的重要基础。 此标准将计算机信息系统安全保护从低到高划分为5个 等级，即用户自主保护级、系统审计保护级、安全标记 保护级、结构化保护级和访问验证保护级。高级别安全 要求是低级别安全要求的超集。计算机信息系统安全保 护能力随着安全保护等级的增高逐渐增强

8.1 组织基础架构 ◼ 计算机信息系统的安全保护等级 ◼ GB 17859—1999《计算机信息系统安全保护等级划 分准则》是我国计算机信息系统安全保护等级系列标准 的基础，是进行计算机信息系统安全等级保护制度建设 的基础性标准，也是信息安全评估和管理的重要基础。 此标准将计算机信息系统安全保护从低到高划分为5个 等级，即用户自主保护级、系统审计保护级、安全标记 保护级、结构化保护级和访问验证保护级。高级别安全 要求是低级别安全要求的超集。计算机信息系统安全保 护能力随着安全保护等级的增高逐渐增强

81组织基础架构 基于通用准则的安全等级 ■GB/T18336中定义的7个评估保证级为： ■评估保证级1（EAL1) 一功能测试。 国i 评估保证级2(EAL2)—结构测试。 o i 评估保证级3(EAL3)一系统地测试和检查。 ■评估保证级4（EAL4)— 系统地设计、测试和复查。 ■评估保证级5（EAL5)—半形式化设计和测试。 国 评估保证级6（EAL6)一半形式化验证的设计和测试。 评估保证级7（EAL7)一形式化验证的设计和测试

8.1 组织基础架构 ◼ 基于通用准则的安全等级 ◼ GB/T 18336中定义的7个评估保证级为： ◼ 评估保证级1（EAL1）——功能测试。 ◼ 评估保证级2（EAL2）——结构测试。 ◼ 评估保证级3（EAL3）——系统地测试和检查。 ◼ 评估保证级4（EAL4）——系统地设计、测试和复查。 ◼ 评估保证级5（EAL5）——半形式化设计和测试。 ◼ 评估保证级6（EAL6）——半形式化验证的设计和测试。 ◼ 评估保证级7（EAL7）——形式化验证的设计和测试

81组织基础架构 信息安全管理的基本内容 现 理以OS安全机制和安全眼多的管理以及物理环境的技 宋监控为主，法津推管理以法律法规遵从性管理为美。 ，塞套菱圣影锅半遐 管理委身并不完成定常的业务应用通信，但 系统管理的安全包括信息系统所有算理驱 务协议的安佞全，以及信意系统管理信意的通信 全，它们是信息系统安全的重要组成部分 陳春餐素着 与 与信息获得足够的保护

8.1 组织基础架构 ◼ 信息安全管理的基本内容 ◼ 信息系统的安全管理涉及与信息系统有关的安全管理 以及信息系统管理的安全两个方面。这两方面的管理 又分为技术性管理和法律性管理两类。其中技术性管 理以OSI安全机制和安全服务的管理以及物理环境的技 术监控为主，法律性管理以法律法规遵从性管理为主。 信息安全管理本身并不完成正常的业务应用通信，但 却是支持与控制这些通信的安全所必需的手段。 ◼ 信息系统管理的安全包括信息系统所有管理服 务协议的安全，以及信息系统管理信息的通信 安全，它们是信息系统安全的重要组成部分。 这一类安全管理将借助对信息系统安全服务与 机制做适当的选取，以确保信息系统管理协议 与信息获得足够的保护

81组织基础架构 信息安全管理的指导原则 信息安全管理的基本原侧包括： ■以安全保发展，在发展中求安全 ■受保护资源的价值与保护成本平衡 ■明确国家、企业和个人对信息安全的职责和可确认性 ■ 信息安全需要积极防御和综合防范 ■定期评估信息系统的残留风险 ■综合考虑社会因素对信息安全的制约 ■信息安全管理体现以人为本

8.1 组织基础架构 ◼ 信息安全管理的指导原则 ◼ 信息安全管理的基本原则包括： ◼ 以安全保发展，在发展中求安全 ◼ 受保护资源的价值与保护成本平衡 ◼ 明确国家、企业和个人对信息安全的职责和可确认性 ◼ 信息安全需要积极防御和综合防范 ◼ 定期评估信息系统的残留风险 ◼ 综合考虑社会因素对信息安全的制约 ◼ 信息安全管理体现以人为本

81组织基础架构 安全管理过程 ■信息系统安全管理是一个过程，用来实现和维持信息系 统及其资源适当等级的机密性、完整性、可用性、不可 抵赖性、可确认性、真实性和可靠性等。信息系统安全 管理包括分析系统资产、分析系统风险、分析安全需求、 制定满足安全需求的计划、执行这些计划并维持和管理 安全设备的安全

8.1 组织基础架构 ◼ 安全管理过程 ◼ 信息系统安全管理是一个过程，用来实现和维持信息系 统及其资源适当等级的机密性、完整性、可用性、不可 抵赖性、可确认性、真实性和可靠性等。信息系统安全 管理包括分析系统资产、分析系统风险、分析安全需求、 制定满足安全需求的计划、执行这些计划并维持和管理 安全设备的安全